(问题)随着智能体应用办公自动化、运维管理、数据处理等场景加速落地,能够“按自然语言指令直接操控计算机”的工具型软件热度上升。国家互联网应急中心近期发布风险提示称,OpenClaw应用在下载和使用层面出现扩散趋势,部分云平台提供了便捷部署方式。但在实际安装、配置与扩展使用过程中,已暴露出多类较为突出的安全风险,值得各方关注。 (原因)业内人士认为,风险集中显现与智能体应用的运行机制密切对应的。为实现“自主执行任务”,此类应用通常会被授予访问本地文件、读取环境变量、调用外部接口、安装扩展等较高权限。一旦默认安全策略不足、管理端口暴露、访问控制薄弱,或用户将密钥凭证以明文写入环境变量,攻击者就可能通过网页诱导、恶意插件、已知漏洞等途径放大权限边界,进而控制系统或获取关键数据。此外,插件生态仍在发展阶段,来源复杂、审核标准不一,也增加了供应链攻击的可能性。 (影响)风险提示显示,当前主要隐患集中在四个上:一是“提示词注入”风险,攻击者可在网页内容中嵌入隐蔽指令,诱导应用在读取网页时执行非预期操作,导致系统密钥等敏感信息泄露;二是“误操作”风险,应用对指令理解偏差或对业务上下文把握不足时,可能触发删除邮件、清理生产数据等不可逆操作,造成数据完整性和业务连续性受损;三是功能插件(skills)投毒风险,部分插件被确认存在恶意行为或潜在缺陷,安装后可能窃取密钥、植入木马后门、控制主机,使设备沦为可被远程操控的“肉鸡”;四是安全漏洞风险,公开披露的多个高中危漏洞一旦被利用,可能引发系统被控、隐私及敏感数据泄露等严重后果。 从受影响对象看,个人用户的照片、文档、聊天记录、支付账户信息及各类接口密钥均可能被窃取;金融、能源等关键行业则可能面临核心业务数据、商业机密、代码仓库泄露,甚至业务系统中断,造成连锁式放大损失。安全人士指出,智能体应用一旦具备“执行能力”并与外部服务深度联通,安全事件就不再局限于信息泄露,还可能更影响生产流程、运维体系和供应链,形成复合型冲击。 (对策)针对上述情况,风险提示对部署与使用提出多项建议:一是强化网络与访问控制,避免将默认管理端口直接暴露在公网,通过身份认证、访问控制等机制进行安全管理,并对运行环境实施严格隔离,采用容器等技术限制高权限带来的扩散风险;二是加强凭证管理,避免在环境变量中明文存储密钥,建立操作日志与审计机制,确保关键操作可追溯、可复盘;三是严格插件来源管理,建议关闭自动更新功能,仅从可信渠道安装并完成签名验证的扩展程序,防止恶意插件通过更新链路传播;四是持续关注版本更新与补丁发布,及时修补已知漏洞,降低被利用的风险。 同时,多位业内专家建议,使用单位应将智能体应用纳入既有安全体系进行评估:上线前落实最小权限配置并完成隔离验证,上线后开展持续监测与异常行为告警;对涉及核心数据与关键系统的场景,提高审批等级并配套回滚策略,同时通过备份与容灾机制降低误操作造成的不可逆损失。 (前景)当前,智能体应用与云部署工具叠加,降低了使用门槛,也在一定程度上降低了安全配置门槛。随着产品能力增强、插件生态扩张、外部接口接入增多,攻击面可能进一步扩大。行业需要推动更“默认安全”的工程实践,包括更严格的权限分级、更透明的插件审核与签名机制、更易用的审计与沙箱隔离能力,以及覆盖开发、分发、部署、运维全链条的安全评测与合规要求。对关键行业而言,应更审慎评估“自动执行”能力的使用边界,避免将高权限智能体直接部署在核心生产网络或关键数据近旁。
在数字化转型持续推进的背景下,OpenClaw涉及的安全风险再次提醒业界:技术能力提升的同时,安全底线必须同步加固。只有把安全管理贯穿开发、部署、运行与运维全流程,才能在控制风险的前提下释放技术价值。这需要厂商夯实安全基线、用户提升防护与运维能力,也需要监管与标准体系持续完善,共同构建更可信、可控的技术生态。